Tietosuoja-asetus GDPR:ään valmistautumisen to do -lista

kirjoittaja | huhti 13, 2018 | Blogi, Tietoturva

tietoturvallista_viestintaa

Kirjainyhdistelmä GDPR eli tarkemmin EU:n tietosuoja-asetus ja siihen liittyvät toimenpiteet ovat kevään teema monissa yrityksissä. Tietosuoja-asetus tuntuu aiheuttavan paniikkia, vaikka syytä paniikkiin ei ole.

Yksilön henkilötietojen käsittelyn asianmukaisuutta ja tietoturvallisuutta vahvistavaan asetukseen valmistautuminen toki teettää ja on teettänyt useimmilla yrityksillä töitä, mutta asetuksen soveltamisen voimaan tulo myös parantaa ja tarkoituksenmukaistaa yritysten tietoturvakäytänteitä.

Olemme Magic Cloudilla valmistautuneet asetuksen tuloon ja tehneet sen velvoittamaa dokumentointia viime syksystä saakka. Tässä kirjoituksessa koottuna teemoitellusti tietosuoja-asetukseen valmistautumiseen liittyviä toimenpiteitä, jotka itse olen katsonut hyviksi ja konkreettisiksi toimiksi asetukseen valmistautuessa. Lista ei varmasti ole absoluuttinen, mutta sitä voi käyttää pohjana ja check-listana toukokuun 25. päivään valmistautuessa.


Tietosuoja-asetukseen valmistautuminen

1 Kartoitus ja dokumentaatio

  • Kartoita yrityksesi hallussa olevat rekisterit ja henkilötietolistat (esim. asiakasrekisteri, markkinointirekisteri, yhteydenottorekisteri,
    verkkokaupan rekisteri).
  • Kartoita ja kuvaa esim. yrityksesi sisäiseen GDPR-dokumenttiin, mitä henkilötietoja kyseisissä rekistereissä on.
  • Selvitä, missä rekisterit sijaitsevat (esim. tiedostojen ja postitusohjelmien palvelimien sijaintimaa).
  • Selvitä henkilötietojen käsittelyn tarkoitus.

Selvitettyäsi ylläolevat, tee jokaisesta rekisteristä rekisteriseloste. Rekisteriselosteet kannattaa rakentaa tietosuojavaltuutetun lomakkeiden mukaisesti.

2 Henkilötietojen käsittelyperiaatteet

  • Selvitä, miten yrityksessäsi käsitellään henkilötietoja.
  • Varmista, että käsittely on/tulee olemaan lainmukaista:
    Käsittely on asianmukaista ja läpinäkyvää, henkilötiedot on kerätty nimenomaista tarkoitusta varten, eikä niitä käytetä muuhun, rekisterit sisältävät vain tarpeelliset henkilötiedot ja tiedot ovat ajantasalla.
  • Varmista, että henkilötietojen käsittelyllä ja rekisterien käytöllä on lakiin sidottu käsittelytarkoitus (artikla 6, 1a-f)

3 Tarvittavat tekniset toimenpiteet

Tarvittavat tekniset toimenpiteet tulee toteuttaa käsittelyn kohteena olevien henkilötietojen tietoturvan toteuttamiseksi.

Selvitä vähintään seuraavat teknisen tietoturvan osa-alueet ja tarvittaessa saata ne ajan tasalle:

  • Ajantasaiset tietoturvapäivitykset
  • Virusturvan ja palomuurin tila ja ajantasaisuus
  • Tietoliikenteen salaus
  • Tiedostojen ja tietojen varmistukset
  • Tietoturvallinen toiminta (esim. salasanakäytäntö)

4 Viestinnälliset toimenpiteet

Varmista, että

  • Ilmoitat henkilötietoja käsitellessäsi käsittelyn perusteet ja lähtökohdat esimerkiksi linkittämällä rekisteriselosteet nettisivuille, yhteydenottolomakkeisiin ja uutiskirjeisiin
  • Yhteystietolomakkeessa ei ole valmiiksi valittua ”liity postituslistalle” valintaa
  • Uutiskirjeissä ym. on mahdollisuus poistua listalta
  • Sensitiivistä tietoa lähetetään vain salattuja yhteyksiä pitkin
  • Salasanat säilytetään turvallisesti ja ne vastaavat vaatimuksia

5 Organisatoriset toimenpiteet

  • Laadi yhteistoiminnallisesti yrityksen tietoturvallisen toiminnan ja
    henkilötietojen käsittelyn ohjeistus
  • Tee tarvittaessa henkilöstön kanssa erilliset salassapitosopimukset
  • Laadi ohjeistus ja toimintasuunnitelma tietovuodon varalle
  • Perehdytä henkilöstö ja osoita vastuut


Webinaari-tallenne

Kävimme GDPR:n velvoitteet ja sen edellyttämät toimenpiteet käytännönläheisesti läpi webinaarissamme 10.4.2018. Voit halutessasi ladata webinaarin materiaalin tietoturvallisesta Magic ShareFile -palvelustamme ja katsoa tallenteen webinaaristamme:

 

 

Mahdollistiko tietoturvapäivitysten laiminlyönti Lahden Bitcoin-louhinnan?
Entistä turvallisempaa pilveä
#Pilvessä | Missä datan pitäisi asua?
#Pilvessä | Missä datan pitäisi asua?

Kimmon vieraaksi on saapunut Netchainin Heikki Paananen ja tässä jaksossa keskustellaan datan sijainnista. Yritysten data on yhä enemmän hajallaan ja toisaalta myös maailmantilanne on nostanut datan sijainnin monen yritysjohdon pöydälle. Mitä kaikkea yritysten pitäisi...

#Pilvessä | Tekoäly – hypestä liiketoimintahyödyksi
#Pilvessä | Tekoäly – hypestä liiketoimintahyödyksi

Tässä jaksossa Timo Haapavuoren vieraana on Fujitsun Senior Sales Lead Samuli Kunttu ja luvassa on keskustelua tekoälystä. Missä vaiheessa yritykset menevät erilaisten tekoälysovellutusten kanssa? Miten taklata tekoälyratkaisuihin liitettävät merkittävät kustannukset?...

Miksi AI ei muutu hypestä liiketoimintahyödyksi?
Miksi AI ei muutu hypestä liiketoimintahyödyksi?

Viime ajat AI eli tekoäly on ollut meidän kaikkien huulilla. AI on varmasti tämän hetken merkittävin hype, jonka perässä ja nimissä haaveillaan, suunnitellaan ja tehdään projekteja, joilla pyritään kehittämään yritysten liiketoimintaa. Hetki sitten vielä tuntematon...

<h6>Magic Cloud</h6>
Magic Cloud